Capitolul v - Roluri şi responsabilităţi - Ordonanță de urgență 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil
M.Of. 1332
În vigoare Versiune de la: 10 Iulie 2025
CAPITOLUL V:Roluri şi responsabilităţi
SECŢIUNEA 1:Coordonare la nivel naţional
Art. 21
(1)Viziunea, principalele linii directoare şi abordările generale privind domeniul securităţii cibernetice la nivel naţional sunt definite şi asumate în Strategia de securitate cibernetică a României, aprobată prin Hotărârea Guvernului nr. 1.321/2021 privind aprobarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, precum şi a Planului de acţiune pentru implementarea Strategiei de securitate cibernetică a României, pentru perioada 2022-2027, denumită în continuare Strategia, şi în Planul de acţiune pentru implementarea acesteia.
(2)Cadrul general de cooperare în domeniul securităţii cibernetice la nivel naţional este Sistemul naţional de securitate cibernetică, denumit în continuare SNSC, în conformitate cu dispoziţiile Legii nr. 58/2023.
Art. 22
(1)Strategia naţională de securitate cibernetică este elaborată de către DNSC, cu consultarea celorlalte autorităţi cu atribuţii în domeniul securităţii cibernetice conform prevederilor Legii nr. 58/2023, cu avizul Consiliului Operativ de Securitate Cibernetică, denumit în continuare COSC, şi este adoptată prin hotărâre a Guvernului, împreună cu planul de acţiune pentru implementarea strategiei, care este anexă la aceasta.
(2)În elaborarea sau actualizarea strategiei naţionale de securitate cibernetică, DNSC poate solicita asistenţa ENISA.
(3)Strategia naţională de securitate cibernetică prevede obiectivele strategice, resursele necesare pentru atingerea obiectivelor respective şi măsurile de politică şi de reglementare adecvate în vederea atingerii şi menţinerii unui nivel ridicat de securitate cibernetică.
(4)Strategia naţională de securitate cibernetică este evaluată periodic şi cel puţin o dată la cinci ani, pe baza indicatorilor-cheie de performanţă şi, dacă este necesar, este actualizată şi adoptată, urmând acelaşi mecanism.
(5)În termen de trei luni de la data adoptării strategiei naţionale de securitate cibernetică, DNSC transmite Comisiei Europene aceasta.
Art. 23
(1)Strategia naţională de securitate cibernetică elaborată conform art. 22 cuprinde cel puţin următoarele:
b)un cadru de guvernanţă pentru realizarea obiectivelor şi priorităţilor menţionate la lit. a), inclusiv politicile publice prevăzute la alin. (2);
a)obiectivele şi priorităţile strategiei naţionale de securitate cibernetică, care acoperă în special sectoarele menţionate în anexele nr. 1 şi 2;
b)un cadru de guvernanţă pentru realizarea obiectivelor şi priorităţilor menţionate la lit. a), inclusiv politicile publice prevăzute la alin. (2);c)un cadru de guvernanţă care clarifică rolurile şi responsabilităţile părţilor interesate relevante la nivel naţional, care sprijină cooperarea şi coordonarea la nivel naţional între autorităţile competente, punctele unice de contact şi echipele de răspuns la incidente de securitate cibernetică în temeiul prezentei ordonanţe de urgenţă, precum şi coordonarea şi cooperarea dintre aceste organisme şi autorităţile competente în temeiul actelor juridice sectoriale ale Uniunii Europene;
d)un mecanism care să identifice activele relevante şi o evaluare a riscurilor la nivel naţional;
e)o identificare a măsurilor de asigurare a pregătirii pentru incidente la nivel naţional, a capacităţii de răspuns la acestea şi a redresării în urma acestora, inclusiv cooperarea dintre sectorul public şi cel privat;
f)o listă a diferitelor autorităţi şi părţi interesate care participă la punerea în aplicare a strategiei naţionale de securitate cibernetică;
g)un cadru de politică menit să asigure o mai bună coordonare între autorităţile competente în temeiul prezentei ordonanţe de urgenţă şi al dispoziţiilor legale privind rezilienţa entităţilor critice în scopul schimbului de informaţii privind riscurile, ameninţările cibernetice şi incidentele, precum şi privind riscurile, ameninţările şi incidentele fără caracter cibernetic şi al exercitării sarcinilor de supraveghere, după caz;
h)un plan care să cuprindă inclusiv măsurile necesare pentru a spori nivelul general de sensibilizare a cetăţenilor cu privire la securitatea cibernetică.
(2)În cadrul strategiei naţionale de securitate cibernetică se prevăd cel puţin următoarele politici publice:
a)care abordează securitatea cibernetică a lanţului de aprovizionare pentru produsele TIC şi serviciile TIC utilizate de entităţi pentru furnizarea serviciilor lor;
b)care privesc includerea şi specificarea cerinţelor legate de securitatea cibernetică pentru produsele TIC şi serviciile TIC în cadrul achiziţiilor publice, inclusiv în legătură cu certificarea de securitate cibernetică, criptarea şi utilizarea produselor de securitate cibernetică cu sursă deschisă;
c)de gestionare a vulnerabilităţilor, inclusiv promovarea şi facilitarea divulgării coordonate a vulnerabilităţilor;
d)legate de menţinerea disponibilităţii, integrităţii şi confidenţialităţii generale a nucleului public al internetului deschis, inclusiv securitatea cibernetică a cablurilor de comunicaţii submarine, după caz;
e)de promovare a dezvoltării şi integrării tehnologiilor avansate relevante care vizează implementarea unor măsuri de ultimă generaţie de gestionare a riscurilor în materie de securitate cibernetică;
f)de promovare şi dezvoltare a educaţiei şi a formării privind securitatea cibernetică, competenţele, sensibilizarea şi iniţiativele de cercetare şi dezvoltare în materie de securitate cibernetică, precum şi orientări privind bunele practici şi controale în materie de igienă cibernetică, destinate cetăţenilor, părţilor interesate şi entităţilor;
g)de sprijinire a instituţiilor academice şi de cercetare în vederea dezvoltării, consolidării şi promovării implementării unor instrumente de securitate cibernetică şi a unei infrastructuri de reţele securizate;
h)care să includă proceduri relevante şi instrumente adecvate de schimb de informaţii care să sprijine schimbul voluntar de informaţii în materie de securitate cibernetică între entităţi, în conformitate cu dreptul Uniunii Europene;
i)de consolidare a rezilienţei cibernetice şi a nivelului de referinţă în materie de igienă cibernetică pentru întreprinderile mici şi mijlocii, în special pentru cele excluse din domeniul de aplicare al prezentei ordonanţe de urgenţă, prin furnizarea de orientări şi asistenţă uşor accesibile pentru nevoile lor specifice;
j)de promovare a unei protecţii cibernetice active.
SECŢIUNEA 2:Autoritatea competentă la nivel naţional
Art. 24
(1)DNSC este autoritatea competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică.
(2)DNSC îndeplineşte funcţia de echipă de răspuns la incidente de securitate cibernetică naţională, denumită în continuare CSIRT naţional, în temeiul dispoziţiilor Ordonanţei de urgenţă a Guvernului nr. 104/2021.
(3)În vederea îndeplinirii atribuţiilor ce îi revin în temeiul prevederilor prezentei ordonanţe de urgenţă, DNSC se asigură că deţine personal suficient şi competent şi că dispune de resurse adecvate pentru a-şi îndeplini în mod eficace şi eficient atribuţiile.
(4)Pentru aplicarea alin. (3), din bugetul DNSC se asigură, cu respectarea prevederilor legale, următoarele categorii de cheltuieli:
a)achiziţionarea de servicii de specialitate;
b)achiziţia de echipamente şi software, inclusiv software dezvoltat la comandă;
c)afilierea la reţele şi organizaţii internaţionale de profil şi participarea prin reprezentanţi la lucrările acestora, precum şi la alte evenimente de profil;
d)cursuri de formare şi perfecţionare, precum şi certificări ale personalului propriu;
e)editarea de publicaţii, ghiduri de specialitate, clipuri video de conştientizare;
f)organizarea de conferinţe, seminare şi alte evenimente de profil;
g)efectuarea de studii statistice şi activităţi de cercetare.
Art. 25
(1)DNSC, în exercitarea calităţii de autoritate competentă responsabilă cu securitatea cibernetică şi cu sarcinile de supraveghere şi asigurare a respectării măsurilor pentru un nivel comun ridicat de securitate cibernetică în temeiul prezentei ordonanţe de urgenţă, are următoarele atribuţii:
a)elaborează şi asigură punerea în aplicare a strategiei naţionale de securitate cibernetică alături de celelalte autorităţi competente;
b)elaborează norme şi cerinţe în domeniul de aplicare al prezentei ordonanţe de urgenţă;
c)elaborează şi actualizează ghiduri, recomandări şi bune practici în domeniul de aplicare al prezentei ordonanţe de urgenţă;
d)administrează şi gestionează resursele pentru punerea în aplicarea a prezentei ordonanţe de urgenţă;
e)participă, prin reprezentanţi, la formatele de cooperare la nivel european;
f)supraveghează, verifică şi controlează respectarea prevederilor prezentei ordonanţe de urgenţă;
g)primeşte sesizări cu privire la neîndeplinirea obligaţiilor de către entităţile esenţiale şi importante;
h)cooperează cu autorităţile competente din celelalte state membre ale Uniunii Europene şi oferă asistenţă acestora, prin schimbul de informaţii, transmiterea de solicitări şi sesizări, efectuarea controlului ori luarea de măsuri de supraveghere şi remediere a deficienţelor constatate, în cazul entităţilor care fac obiectul prezentei ordonanţe de urgenţă;
i)autorizează, revocă sau reînnoieşte autorizarea echipelor de răspuns la incidente de securitate cibernetică ce deservesc entităţile esenţiale şi importante;
j)eliberează, revocă sau reînnoieşte atestatele auditorilor de securitate cibernetică care pot efectua audit în cadrul reţelelor şi sistemelor informatice ce susţin servicii esenţiale ori servicii importante, în condiţiile prezentei ordonanţe de urgenţă;
k)autorizează, revocă sau reînnoieşte autorizarea furnizorilor de servicii de formare pentru securitate cibernetică pentru formarea auditorilor de securitate cibernetică şi a echipelor de răspuns la incidente de securitate cibernetică;
l)asigură ducerea la îndeplinire a obligaţiilor de raportare a incidentelor de către entităţile esenţiale şi importante în condiţiile prezentei ordonanţe de urgenţă;
m)încurajează utilizarea de către entităţile esenţiale şi importante a produselor TIC, serviciilor TIC şi proceselor TIC ce corespund cerinţelor de standardizare şi certificare în domeniul securităţii cibernetice adoptate în temeiul articolului 49 din Regulamentul (UE) 2019/881 şi a serviciilor de încredere calificate, cu respectarea standardelor şi a specificaţiilor tehnice europene şi internaţionale relevante pentru securitatea reţelelor şi a sistemelor informatice;
n)reglementează şi gestionează procesul de divulgare coordonată a vulnerabilităţilor.
(2)DNSC este responsabil de gestionarea procesului de identificare a entităţilor esenţiale şi a entităţilor importante şi păstrează un registru al acestora conform art. 18.
(3)DNSC este responsabil de gestionarea procesului de identificare a furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor de servicii de cloud computing, furnizorilor de servicii de centre de date, furnizorilor de reţele de furnizare de conţinut, furnizorilor de servicii gestionate, furnizorilor de servicii de securitate gestionate, precum şi furnizorilor de pieţe online, de motoare de căutare online şi de platforme de servicii de socializare în reţea şi transmite către ENISA datele privind identificarea acestora până la data de 17 ianuarie 2025.
(4)DNSC identifică serviciile, sistemele şi produsele TIC care pot face obiectul evaluării de risc naţionale din perspectiva lanţului de aprovizionare pe care o elaborează şi o transmite către ENISA, rezultatele evaluării fiind transmise către entităţile esenţiale şi entităţile importante şi către autorităţile competente sectorial.
(5)DNSC păstrează evidenţa datelor prevăzute la alin. (3), le actualizează periodic şi transmite modificările către ENISA.
(6)DNSC realizează, ori de câte ori este nevoie şi cel puţin o dată pe an, o evaluare a securităţii cibernetice a spaţiului cibernetic naţional civil, evaluarea fiind transmisă şi autorităţilor competente sectorial.
Art. 26
(1)DNSC, în exercitarea atribuţiilor de supraveghere şi control, în cazul neîndeplinirii de către entităţile esenţiale şi entităţile importante a obligaţiilor ce le revin conform dispoziţiilor prezentei ordonanţe de urgenţă, verifică respectarea dispoziţiilor prezentei ordonanţe de urgenţă şi realizează controale, emite dispoziţii cu caracter obligatoriu pentru entităţile esenţiale şi entităţile importante în vederea conformării şi remedierii deficienţelor constatate şi stabileşte termene pentru aceasta, instituie măsuri de supraveghere pentru entităţile esenţiale şi pentru entităţile importante şi aplică sancţiuni.
(2)DNSC asigură evaluarea procesului de pregătire şi specializare a auditorilor în vederea atestării ca auditori de securitate cibernetică, a membrilor echipelor de răspuns la incidente de securitate cibernetică, a responsabililor de securitate cibernetică şi a furnizorilor de servicii de formare pentru securitate cibernetică.
Art. 27
(1)DNSC cooperează cu instituţiile din COSC şi poate solicita efectuarea de verificări ale riscurilor de securitate, inclusiv din perspectiva securităţii naţionale, cu privire la solicitantul de atestat de auditor, membrii echipelor de răspuns la incidente de securitate cibernetică şi furnizorilor de servicii specifice echipelor de răspuns la incidente de securitate cibernetică.
(2)În urma aplicării alin. (1), DNSC evaluează riscurile de securitate şi în funcţie de situaţie dispune continuarea sau întreruperea procedurii de evaluare şi atestare.
SECŢIUNEA 3:Cadrul naţional de gestionare a crizelor cibernetice
Art. 28
(1)DNSC este autoritatea naţională de gestionare a crizelor cibernetice şi este responsabilă la nivel naţional cu gestionarea incidentelor de securitate cibernetică de mare amploare şi crize de securitate cibernetică, calitate pe care o îndeplineşte prin Centrul Naţional de Gestionare a Crizelor de Securitate Cibernetică, denumit în continuare CNGCSC, conform dispoziţiilor art. 5 lit. o) din Ordonanţa de urgenţă a Guvernului nr. 104/2021.
(2)În îndeplinirea calităţii prevăzute la alin. (1), DNSC are următoarele atribuţii:
a)identifică capacităţile, mijloacele şi procedurile care pot fi utilizate în caz de criză, în funcţie de care elaborează, actualizează şi coordonează aplicarea Planului de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace, adoptat prin ordin al directorului DNSC;
b)adoptă măsurile tehnice şi organizatorice necesare pentru instituirea nivelului critic de alertă cibernetică şi pentru gestionarea acestuia, conform prevederilor Legii nr. 58/2023;
c)asigură şi coordonează schimbul de informaţii referitoare la crizele de securitate cibernetică cu toate părţile interesate relevante din sectorul public şi privat;
d)participă, prin intermediul CNGCSC, la gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare şi a crizelor de securitate cibernetică la nivelul Uniunii Europene şi acordă sprijin autorităţilor statelor membre;
e)organizează şi participă, prin intermediul CNGCSC, la exerciţii, activităţi de formare şi alte măsuri naţionale de pregătire în domeniul crizelor de securitate cibernetică.
Art. 29
(1)Gestionarea la nivel naţional a incidentelor şi a crizelor de securitate cibernetică se realizează în conformitate cu Planul de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace.
(2)Planul de management al crizelor de securitate cibernetică la nivel naţional pe timp de pace are ca scop gestionarea incidentelor de securitate cibernetică de mare amploare şi al crizelor cibernetice şi prevede cel puţin:
a)obiectivele măsurilor şi ale activităţilor de pregătire;
b)sarcinile şi responsabilităţile autorităţilor de gestionare a crizelor cibernetice;
c)procedurile de gestionare a crizelor cibernetice, inclusiv integrarea acestora în cadrul naţional general de gestionare a crizelor şi canalele de schimb de informaţii;
d)măsurile de pregătire, inclusiv exerciţii şi activităţi de formare;
e)părţile interesate relevante din sectorul public şi privat şi infrastructura implicată;
f)procedurile naţionale şi acordurile dintre autorităţile şi organismele naţionale relevante menite să asigure participarea efectivă a României la gestionarea coordonată a incidentelor de securitate cibernetică de mare amploare şi a crizelor la nivelul Uniunii Europene şi sprijinul acordat de aceasta.
(3)În termen de trei luni de la adoptarea sau modificarea planului prevăzut la alin. (1), DNSC transmite Comisiei Europene şi Reţelei europene a organizaţiilor de legătură în materie de crize cibernetice, denumită în continuare EU-CyCLONe, informaţii relevante în legătură cu acesta, cu excepţia informaţiilor care pot aduce atingere securităţii naţionale.
(4)În termen de trei luni de la intrarea în vigoare a prezentei ordonanţe de urgenţă, punctul unic de contact naţional notifică Comisiei Europene şi EU-CyCLONe calitatea DNSC de autoritate naţională de gestionare a crizelor cibernetice, precum şi orice modificări ulterioare ale acestei calităţi.
SECŢIUNEA 4:Echipele de răspuns la incidente de securitate cibernetică
Art. 30
(1)Entităţile esenţiale, entităţile importante şi autorităţile competente sectorial pot constitui echipe de răspuns la incidente de securitate cibernetică, denumite în continuare CSIRT, proprii sau sectoriale ori pot achiziţiona servicii de specialitate de la furnizori de servicii specifice CSIRT, autorizaţi de către DNSC.
(2)CSIRT-urile prevăzute la alin. (1) sunt autorizate de către DNSC în urma evaluării îndeplinirii condiţiilor specifice de autorizare a acestui tip de serviciu, conform alin. (3) şi art. 31-33.
(3)În vederea obţinerii autorizării, CSIRT-urile prevăzute la alin. (1) trebuie să probeze deţinerea unei infrastructuri de comunicare şi de informaţii adecvate, sigure şi reziliente care să permită schimbul de informaţii cu entităţile pe care acestea le deservesc şi cu alte părţi interesate relevante, precum şi existenţa resurselor adecvate pentru îndeplinirea efectivă a sarcinilor ce le revin.
(4)CSIRT-urile prevăzute la alin. (1) cooperează şi fac schimb de informaţii relevante cu comunităţile sectoriale sau transsectoriale formate din entităţi esenţiale şi entităţi importante, cât şi cu CSIRT-uri din state terţe, inclusiv pentru a le oferi asistenţă în materie de securitate cibernetică.
(5)CSIRT-urile prevăzute la alin. (1) participă la grupuri de cooperare naţionale şi internaţionale, evaluări inter pares, la Reţeaua CSIRT sau la alte formate asemănătoare la solicitarea CSIRT naţional.
(6)CSIRT-urile prevăzute la alin. (1) cooperează atât între ele, cât şi cu CSIRT naţional.
(7)DNSC poate delega una sau mai multe persoane atât din personalul propriu de control, cât şi de specialitate să îşi exercite temporar atribuţiile în cadrul unui CSIRT prevăzut la alin. (1).
Art. 31
(1)CSIRT-urile proprii, sectoriale sau furnizorii de servicii specifice CSIRT care deservesc entităţile esenţiale sau entităţile importante au următoarele obligaţii:
a)să fie autorizate de către DNSC;
b)să asigure compatibilitatea şi interoperabilitatea sistemelor, procedurilor şi metodelor utilizate cu cele ale CSIRT naţional;
c)să furnizeze cel puţin pachetul minim de servicii de tip CSIRT necesar asigurării la nivel naţional a unei protecţii unitare a entităţilor esenţiale şi a entităţilor importante, în condiţiile alin. (2);
d)să utilizeze în cadrul echipelor un număr corespunzător de persoane calificate;
e)să se interconecteze la serviciul de alertă, monitorizare şi cooperare al DNSC şi să asigure un răspuns prompt la alertele şi solicitările transmise de CSIRT naţional;
f)să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor;
g)să aloce anual bugetul necesar în vederea menţinerii unui nivel ridicat al capabilităţilor atât din punctul de vedere al resurselor umane, cât şi tehnice.
(2)Normele tehnice privind compatibilitatea şi interoperabilitatea prevăzute la alin. (1) lit. b), pachetul minim de servicii de tip CSIRT prevăzut la alin. (1) lit. c) şi criteriile de stabilire a numărului de persoane calificate prevăzute la alin. (1) lit. d) se aprobă prin ordin al directorului DNSC.
(3)DNSC elaborează tematicile pentru specializarea personalului din cadrul CSIRT-urilor în vederea autorizării conform art. 30 alin. (2), prin decizie a directorului DNSC.
Art. 32
(1)CSIRT-urile trebuie să îndeplinească următoarele cerinţe:
a)să asigure o disponibilitate ridicată a canalelor de comunicare proprii, evitând punctele unice de defecţiune, dispunând de mai multe mijloace pentru a fi conectate şi pentru a contacta alte entităţi în orice moment;
b)să specifice canalele de comunicare prevăzute la lit. a) şi să le aducă la cunoştinţă bazei de utilizatori şi parteneri de cooperare;
c)să menţină sediile şi sistemele informatice de suport în amplasamente securizate;
d)să dispună de un sistem adecvat de gestionare şi rutare a cererilor;
e)să asigure confidenţialitatea şi credibilitatea operaţiunilor lor;
f)să dispună de personal adecvat pentru a asigura disponibilitatea permanentă a serviciilor lor;
g)să fie echipate cu sisteme redundante şi spaţiu de lucru de rezervă pentru a asigura continuitatea serviciilor lor, chiar şi după un incident;
h)să protejeze datele confidenţiale şi sensibile ale beneficiarilor serviciilor lor de accesul neautorizat, sustragerea, alterarea sau distrugerea lor, prin măsuri tehnice şi procedurale suficiente, adecvate şi proporţionale.
(2)CSIRT-urile pot acorda prioritate unor cereri de sprijin în temeiul unei abordări bazate pe riscuri.
(3)CSIRT-urile stabilesc relaţii de cooperare cu părţile interesate relevante în vederea îndeplinirii atribuţiilor acestora.
(4)Pentru a facilita cooperarea prevăzută la alin. (3), CSIRT-urile promovează adoptarea şi utilizarea unor practici, sisteme de clasificare şi taxonomii comune sau standardizate în legătură cu:
a)procedurile de gestionare a incidentelor;
b)gestionarea crizelor;
c)divulgarea coordonată a vulnerabilităţilor, în temeiul art. 36.
(5)Pachetul minim de servicii de tip CSIRT trebuie să acopere cel puţin funcţiile şi controalele sau elementele aferente funcţiilor, de prioritate medie şi înaltă, aşa cum sunt definite de standardele şi cadrele sau platformele recunoscute la nivel internaţional în domeniul răspunsului la incidente şi al managementului riscului de securitate cibernetică, ce vor fi precizate şi actualizate periodic prin ordin al directorului DNSC.
Art. 33
(1)CSIRT-urile au următoarele responsabilităţi:
a)monitorizarea şi analiza ameninţărilor cibernetice, a vulnerabilităţilor şi a incidentelor la nivel naţional şi, la cerere, acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate cu privire la monitorizarea în timp real sau în timp aproape real a reţelei lor şi a sistemelor lor informatice în conformitate cu necesităţile acestora;
b)asigurarea unor mecanisme de avertizare timpurii, alerte, anunţuri şi diseminare de informaţii către entităţile esenţiale şi entităţile importante, precum şi către autorităţile competente şi alte părţi interesate relevante cu privire la ameninţări cibernetice, vulnerabilităţi şi incidente în timp aproape real;
c)răspunsul la incidente şi acordarea de asistenţă entităţilor esenţiale şi entităţilor importante implicate, după caz;
d)colectarea şi analiza datelor şi furnizarea de analize dinamice de risc şi de incident şi conştientizarea situaţiei în materie de securitate cibernetică;
e)furnizarea, la cererea unei entităţi esenţiale sau a unei entităţi importante, a unei scanări de securitate a reţelelor şi sistemelor informatice ale entităţii implicate pentru a detecta vulnerabilităţile cu un impact potenţial semnificativ;
f)participarea la implementarea unor instrumente securizate de schimb de informaţii, în conformitate cu art. 20.
(2)Scanările prevăzute la alin. (1) lit. e) sunt neintruzive şi se efectuează pentru a detecta reţelele şi sistemele informatice vulnerabile sau configurate în mod nesigur şi nu aduc niciun efect negativ funcţionalităţii serviciilor entităţilor în cauză.
Art. 34
(1)CSIRT-urile care deservesc entităţi esenţiale sau entităţi importante se autorizează de către DNSC.
(2)În acest sens, DNSC are următoarele atribuţii generale:
a)elaborează şi adoptă, prin ordin al directorului DNSC, regulamentul privind autorizarea şi verificarea CSIRT-urilor care deservesc entităţile esenţiale şi entităţile importante şi stabileşte condiţiile de valabilitate pentru autorizaţiile acordate, precum şi tematicile pentru formarea personalului CSIRT-urilor;
b)acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea pentru CSIRT-uri;
c)acordă, prelungeşte, suspendă sau retrage, prin decizie a directorului DNSC, autorizarea furnizorilor de servicii de formare pentru activităţile specifice CSIRT;
d)verifică, în urma sesizărilor sau din oficiu, îndeplinirea de către CSIRT-urile autorizate a obligaţiilor ce le revin.
(3)Autorizările prevăzute la alin. (2) lit. b) au o valabilitate de trei ani.
Art. 35
(1)DNSC, în calitate de CSIRT naţional, poate asigura sprijin pentru gestionarea incidentelor:
a)entităţilor esenţiale şi entităţilor importante, la solicitarea acestora;
b)echipelor de răspuns la incidente de securitate cibernetică.
(2)CSIRT naţional îndeplineşte cerinţele prevăzute la art. 30 alin. (3) şi art. 32 alin. (1).
(3)CSIRT naţional poate stabili relaţii de cooperare cu CSIRT-uri din ţări terţe, inclusiv pentru a le oferi asistenţă reciprocă în materie de securitate cibernetică. În cadrul acestor relaţii de cooperare, se facilitează un schimb de informaţii eficace, eficient şi securizat cu respectivele CSIRT-uri, utilizând protocoalele relevante de schimb de informaţii.
(4)CSIRT naţional poate face schimb de informaţii relevante cu CSIRT-urile din ţări terţe, inclusiv de date cu caracter personal în conformitate cu legislaţia privind protecţia datelor.
Art. 36 (4)Producătorii şi furnizorii de produse sau servicii TIC, care sunt entităţi esenţiale sau importante, au obligaţiile de a transmite către DNSC toate informaţiile cu privire la vulnerabilităţile pe care le identifică, precum şi cu privire la vulnerabilităţile care le sunt semnalate de către terţi şi care le afectează propriile produse sau servicii şi de a remedia respectivele vulnerabilităţi într-un termen stabilit de comun acord cu DNSC.
(8)DNSC notifică Comisiei Europene, fără întârzieri nejustificate, atât calitatea pe care o îndeplineşte conform dispoziţiilor alin. (1), cât şi sarcinile ce îi revin în exercitarea acestei calităţi, precum şi orice modificări ulterioare ale calităţii sale ori ale sarcinilor îndeplinite.
(1)DNSC, în calitate de CSIRT naţional, este responsabil de gestionarea procesului de divulgare coordonată a vulnerabilităţilor şi este desemnat drept coordonator care acţionează ca intermediar de încredere, facilitând, atunci când este necesar, interacţiunea dintre persoana fizică sau juridică care raportează o vulnerabilitate şi producătorul sau furnizorul de produse TIC sau servicii TIC potenţial vulnerabile, la cererea oricărei părţi.
(2)În îndeplinirea prevederilor alin. (1), DNSC:
a)asigură primirea, stocarea şi evaluarea raportărilor referitoare la orice vulnerabilitate a unui produs sau serviciu TIC, înaintate în condiţiile alin. (3);
b)asigură posibilitatea anonimatului persoanei care raportează o vulnerabilitate;
c)identifică şi contactează entităţile care produc, deţin sau administrează produse sau servicii TIC care fac obiectul raportării conform alin. (3), cărora le comunică vulnerabilităţile raportate;
d)facilitează, în măsura în care este necesar, atunci când acţionează drept intermediar de încredere, interacţiunea dintre persoana care raportează o vulnerabilitate şi producătorul, deţinătorul, administratorul sau furnizorul de produse sau servicii TIC potenţial vulnerabile, la cererea uneia dintre părţi şi cu acordul celeilalte părţi;
e)dispune măsuri adecvate, conform atribuţiilor sale legale, în legătură cu gestionarea vulnerabilităţilor raportate de către entităţile care produc, deţin, administrează sau furnizează produse sau servicii TIC care fac obiectul raportării conform alin. (3);
f)efectuează, după caz, verificări asupra vulnerabilităţilor în sistemele informatice, cu sprijinul producătorilor, deţinătorilor, administratorilor sau furnizorilor de produse sau servicii TIC potenţial vulnerabile;
g)negociază cu entităţile afectate calendarele de divulgare şi gestionare a vulnerabilităţilor care afectează mai multe entităţi;
h)atunci când o vulnerabilitate raportată ar putea avea un impact semnificativ transfrontalier, cooperează, după caz, cu CSIRT-urile desemnate din cadrul Reţelei CSIRT;
i)emite proceduri, norme tehnice şi ghiduri conţinând cerinţe minime şi recomandări pentru raportarea vulnerabilităţilor şi conduita raportorilor, gestionarea acestora de către entităţi şi îndeplinirea de către acestea a obligaţiilor conexe, programele private de divulgare a vulnerabilităţilor şi relaţiile dintre entităţi şi raportori;
j)poate asista persoanele care raportează o vulnerabilitate.
(3)Orice persoană fizică sau juridică poate raporta către DNSC vulnerabilităţi ale unor produse sau servicii TIC, cu respectarea prevederilor legale.
(4)Producătorii şi furnizorii de produse sau servicii TIC, care sunt entităţi esenţiale sau importante, au obligaţiile de a transmite către DNSC toate informaţiile cu privire la vulnerabilităţile pe care le identifică, precum şi cu privire la vulnerabilităţile care le sunt semnalate de către terţi şi care le afectează propriile produse sau servicii şi de a remedia respectivele vulnerabilităţi într-un termen stabilit de comun acord cu DNSC.(5)Persoana fizică sau juridică care raportează conform alin. (3) respectă cel puţin următoarele:
a)activitatea de cercetare pentru descoperirea de vulnerabilităţii raportate se efectuează cu bună-credinţă, exclusiv cu scopul de a contribui la îmbunătăţirea securităţii cibernetice şi cu respectarea prevederilor legale;
b)activitatea de cercetare se desfăşoară fără accesarea sau copierea neautorizată a conţinutului fişierelor din sistemele informatice care fac obiectul activităţii de cercetare;
c)în cadrul activităţii de cercetare nu sunt şterse sau modificate date din sistemele informatice care fac obiectul activităţii de cercetare;
d)activitatea de cercetare se desfăşoară fără încălcarea sau ocolirea unor bariere tehnice precum parole sau detalii de identificare, prin tehnici precum atacuri brute-force, prin phishing sau alte procedee de inginerie socială;
e)nu se cauzează nicio întrerupere sau deteriorare a produselor sau serviciilor TIC ale terţilor;
f)activitatea de cercetare nu se desfăşoară pentru a derula atacuri, nu produce prejudicii şi nu utilizează produse de tip malware sau tehnici de natură să afecteze disponibilitatea serviciilor TIC;
g)nu a dezvăluit public informaţii cu privire la vulnerabilitatea identificată, anterior sau ulterior momentului raportării, fără acordul DNSC.
(6)Raportarea de la alin. (3) se realizează în termen de cel mult 48 de ore de la identificarea vulnerabilităţii.
(7)Entităţile care fac obiectul prezentei ordonanţe de urgenţă au obligaţia de a institui la nivelul acestora procese de management al vulnerabilităţilor TIC aferente produselor şi serviciilor pe care le oferă şi care includ cel puţin următoarele măsuri:
a)asigură primirea raportărilor de vulnerabilităţi, analiza acestora în vederea confirmării sau infirmării validităţii celor semnalate, precum şi pentru remedierea vulnerabilităţilor confirmate, inclusiv soluţii temporare până la remediere pentru persoanele afectate;
b)cooperarea cu DNSC în procesele de management al vulnerabilităţilor şi de divulgare coordonată a vulnerabilităţilor;
c)stabilirea şi publicarea în cadrul detaliilor de contact tehnic în documente şi pe pagina de internet a modalităţilor de contact şi de comunicare privind vulnerabilităţile, precum şi a termenilor şi condiţiilor pentru raportarea de vulnerabilităţi;
d)asigurarea comunicării şi cooperării cu raportorii şi cu DNSC în procesul divulgare coordonată a vulnerabilităţilor, precum şi, după caz, cu utilizatorii produselor sau serviciilor potenţial vulnerabile.
(8)DNSC notifică Comisiei Europene, fără întârzieri nejustificate, atât calitatea pe care o îndeplineşte conform dispoziţiilor alin. (1), cât şi sarcinile ce îi revin în exercitarea acestei calităţi, precum şi orice modificări ulterioare ale calităţii sale ori ale sarcinilor îndeplinite.